Microsoft SQL ODBC Driver - CVE-2023-21718
Date de publication :
Date de mise à jour :
Une vulnérabilité dans l’utilitaire sqlcmd permet à un attaquant non authentifié, en persuadant une victime de se connecter via ODBC à un serveur SQL malveillant, d’exécuter du code arbitraire sur le système.
Informations
La faille est activement exploitée : Non
Un correctif existe : Oui
Une mesure de contournement existe : Non
Exécution de code arbitraire
Exploitation
La vulnérabilité exploitée est du type
CWE-191: Integer Underflow (Wrap or Wraparound)
Détails sur l'exploitation
• Vecteur d'attaque : Local.
• Complexité de l'attaque : Faible.
• Privilèges nécessaires pour réaliser l'attaque : Aucun.
• Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Oui.
• L'exploitation de la faille permet d'obtenir des droits privilégiés : Non.
Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.
Systèmes ou composants affectés
Produits Microsoft affectés
Microsoft SQL Server 2008 R2 pour des systèmes 32-bit Service Pack 3 (QFE)
Microsoft SQL Server 2008 pour des systèmes x64 Service Pack 4 (QFE)
Microsoft SQL Server 2008 pour des systèmes 32-bit Service Pack 4 (QFE)
Microsoft SQL Server 2008 R2 pour des systèmes x64 Service Pack 3 (QFE)
Microsoft SQL Server 2012 pour des systèmes x64 Service Pack 4 (QFE)
Microsoft SQL Server 2012 pour des systèmes 32-bit Service Pack 4 (QFE)
Microsoft SQL Server 2019 pour des systèmes x64 (CU 18)
Microsoft SQL Server 2022 pour des systèmes x64 (GDR)
Microsoft SQL Server 2017 pour des systèmes x64 (CU 31)
Microsoft SQL Server 2016 pour des systèmes x64 Service Pack 3 Azure Connectivity Pack
Microsoft SQL Server 2016 pour des systèmes x64 Service Pack 3 (GDR)
Microsoft SQL Server 2014 Service Pack 3 pour des systèmes x64 (CU 4)
Microsoft SQL Server 2019 pour des systèmes x64 (GDR)
Microsoft SQL Server 2014 Service Pack 3 pour des systèmes 32-bit (CU 4)
Microsoft SQL Server 2014 Service Pack 3 pour des systèmes 32-bit (GDR)
Microsoft SQL Server 2014 Service Pack 3 pour des systèmes x64 (GDR)
Microsoft SQL Server 2017 pour des systèmes x64 (GDR)
Solutions ou recommandations
Appliquer les correctifs suivants :
- Microsoft SQL Server 2019 pour des systèmes x64 (CU 18) : [KB5021124]
- Microsoft SQL Server 2022 pour des systèmes x64 (GDR) : [KB5021522]
- Microsoft SQL Server 2017 pour des systèmes x64 (CU 31) : [KB5021126]
- Microsoft SQL Server 2016 pour des systèmes x64 Service Pack 3 Azure Connectivity Pack : [KB5021128]
- Microsoft SQL Server 2016 pour des systèmes x64 Service Pack 3 (GDR) : [KB5021129]
- Microsoft SQL Server 2014 Service Pack 3 pour des systèmes x64 (CU 4) : [KB5021045]
- Microsoft SQL Server 2019 pour des systèmes x64 (GDR) : [KB5021125]
- Microsoft SQL Server 2014 Service Pack 3 pour des systèmes 32-bit (CU 4) : [KB5021045]
- Microsoft SQL Server 2014 Service Pack 3 pour des systèmes 32-bit (GDR) : [KB5021037]
- Microsoft SQL Server 2014 Service Pack 3 pour des systèmes x64 (GDR) : [KB5021037]
- Microsoft SQL Server 2017 pour des systèmes x64 (GDR): [KB5021127]
Les produits suivants ne sont plus maintenus, il est donc recommandé de mettre à jour vers une version plus récente :
- Microsoft SQL Server 2008 R2 pour des systèmes 32-bit Pack 3 (QFE)
- Microsoft SQL Server 2008 pour des systèmes x64 Service Pack 4 (QFE)
- Microsoft SQL Server 2008 pour des systèmes 32-bit Service Pack 4 (QFE)
- Microsoft SQL Server 2008 R2 pour des systèmes x64 Service Pack 3 (QFE)
- Microsoft SQL Server 2012 pour des systèmes x64 Service Pack 4 (QFE)
- Microsoft SQL Server 2012 pour des systèmes 32-bit Service Pack 4 (QFE)
Des informations complémentaires sont disponibles dans le bulletin de Microsoft.